On Tue, 10 Jun 2003, zeben wrote: > witam! > > mam pytanko do fachowcow, mianowcie z wiadomosci na internecie zrobilem sobie > firewalla na iptables. jednak cos jest chyba zle bo nie da sie polaczyc z > sieci wew na ftp w internecie. mam dwie karty sieciowe eth0 to internet, oto > moje ustawienia: > > /sbin/depmod -a > /sbin/modprobe iptable_nat > /sbin/modprobe iptable_filter > /sbin/modprobe ip_tables > /sbin/modprobe ip_nat_ftp > /sbin/modprobe ip_conntrack > /sbin/modprobe ip_conntrack_ftp > /sbin/modprobe ipt_REJECT > /sbin/modprobe ipt_REDIRECT > /sbin/modprobe ipt_MASQUERADE > /sbin/modprobe ipt_LOG > iptables -F -t nat > iptables -F > > iptables -I FORWARD -s 10.0.0.0 -j DROP > iptables -I INPUT -s 10.0.0.0 -j DROP > iptables -I OUTPUT -s 10.0.0.0 -j DROP > > iptables -I FORWARD -s 10.0.0.0 -j REJECT > iptables -I INPUT -s 10.0.0.0 -j REJECT > iptables -I OUTPUT -s 10.0.0.0 -j REJECT > Zdecyduj sie, REJECT czy DROP? Zreszta nie wiem co chcesz tu osiagnac. Chcez userom wyciac polaczenie do internetu czy rowniez do serwera (INPUT, OUTPUT)?
> iptables -I FORWARD -s 10.0.30.1 -j ACCEPT > iptables -I INPUT -s 10.0.30.1 -j ACCEPT > iptables -I OUTPUT -s 10.0.30.1 -j ACCEPT > > iptables -I FORWARD -s 10.0.30.2 -j ACCEPT > iptables -I INPUT -s 10.0.30.2 -j ACCEPT > iptables -I OUTPUT -s 10.0.30.2 -j ACCEPT > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port > 8080 > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 411 -j DROP > Co chodzi na tym porcie? Moze tez wypadaloby wyciac :) > iptables -t nat -A POSTROUTING -s 10.0.30.1 -o eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -s 10.0.30.2 -o eth0 -j MASQUERADE > > iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP > iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP > Po co? > iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 --dport 1024:65535 -j DROP > iptables -A PREROUTING -t nat -p udp -s 10.0.0.0/24 --dport 1024:65535 -j DROP > Po co i dlaczego tu a nie w lancuchu FORWARD tabeli filter? > iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP > iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP A po co powtarzac te linijki dwa razy? > iptables -A OUTPUT -p tcp -s 10.0.0.0/24 -o eth1 --sport 1214:1215 -j DROP > A tu chcesz, zeby pakiety wygenerowane na serwerze nie wyszly z tych portow do sieci lokalnej. chmmmm > iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT To jest zezwolenie na wejscie na serwer ftp na serwerze. Tyle, ze do tego lancucha nie dojdzie nic z sieci wewnetrznej a z zewnatrz to i tak nie ma znaczenia bo nic nie blokujesz na zewnetrznym interejsie. ftp nie dziala dlatego, ze dla nat wybiles wszystkie porty powyzej 1024. > echo 1 > /proc/sys/net/ipv4/ip_forward > > aha mam jeszcze broplem ze squidem, ustawienie standardowe tylko zwiekszoen > miejsce na dysku, i ram, tworza sie katalogi cachowe odpalam squida i nic. > nie zapisuje sie nic na dasku... > Tu na pewno nic Ci nie pomoge. Jesli gdzies sie pomylilem to ktos mnie pewnie poprawi. Pozdrawiam -- mirek